Antes de comenzar a decir cuál es mi situación aquí, sepa que estaría SIEMPRE AGRADECIDO por cualquiera que pueda ayudarme con este desastre. Tengo fotos aquí de años y años de trabajo minucioso. Soy un fotógrafo semi-profesional y mi disco duro contiene aproximadamente 1.5 TB de datos de fotos. Además de 100 GB de toda mi biblioteca de música, y todos mis dvd, me tomé el tiempo de conectar mi disco duro. Pero mis fotos son lo que más me preocupa, no son reemplazables.
Ahora, en resumen, esto es lo que sucedió: siempre he tenido una copia de seguridad de mis datos usando Backblaze, que es una copia de seguridad en línea para Windows. Decidí hace unos 3 meses que quería poner en marcha un servidor para mis archivos usando plex y decidí que Ubuntu era la mejor manera de hacerlo. Así que estaba utilizando este método de respaldo usando algo llamado "greyhole" y en el proceso de configuración de (2) discos duros de 2TB y (1) disco duro de 1 TB en este programa de respaldo de greyhole.
Entonces es cuando obtuve un rootkit. Esto fue desagradable y creo que después de 2 meses de intentarlo todo, tuve que actualizar mi BIOS y TODAVÍA tenía este virus. Tuve que formatear todos mis discos duros y hice una copia de seguridad de todo en 1 disco duro llenándolo casi por completo (un disco duro de 2 TB). Todavía no me libré de este virus, fue increíble. Finalmente lo atrapé. Estaba incrustado en mi tarjeta de red ethernet. ¡Cualquiera que lea esto debe tener en cuenta que cualquier cosa incrustada allí puede infectar su enrutador, toda su LAN y permanecer en su computadora incluso a través de la actualización de la BIOS en sí!
De todos modos, después de que parecía deshacerme de lo que todavía tenía mis archivos en mi disco duro. No quería reinfectar mis máquinas, así que intenté volver a escribir el MBR usando una utilidad llamada testdisk.
GRAN ERROR
No tenía idea de lo que estaba haciendo. ¡Y ahora no puedo leer mi información!
Aquí están las buenas noticias? Después de que testdisk hizo lo suyo (que consistía en analizar el disco y usar el comando WRITE para hacer el daño, solo tardé 1 segundo en hacerlo. Significado: no me senté a través de un proceso de 5 horas de escribir 0's en el disco con "dd". Fue algo rápido que hice. Por eso creo que los datos aún deben estar en el disco.
Esto es lo que sé:
- la unidad es una unidad de datos, no tiene sistema operativo. Usé ubuntu como sistema operativo en otra unidad.
- formateado como ext3 o ext4
- tamaño = 2 TB
- archivos = insustituible, toda mi vida funciona, sin exageración.
Además, Backblaze ya no tiene mis archivos porque han pasado más de 30 días. He escrito sobre todas mis otras copias de seguridad con 0 debido al rootkit. Este disco duro era y es la única fuente de mis archivos en el momento en que esto sucedió. Coincidentemente, esta es la única vez que he estado sin respaldo durante muchos años.
Aquí hay una copia / pegar de fdisk -l
Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b
Device Boot Start End Blocks Id System
/dev/sda1 * 63 3907024064 1953512001 83 Linux
Partition 1 does not start on physical sector boundary.
Y lshw
*-scsi:0
physical id: 2
logical name: scsi2
capabilities: emulated
*-cdrom
description: DVD writer
physical id: 0.0.0
bus info: scsi@2:0.0.0
logical name: /dev/cdrom
logical name: /dev/sr0
capabilities: audio cd-r cd-rw dvd dvd-r
configuration: signature=643a3365 status=ready
*-disk
description: ATA Disk
product: ST2000DM001-1CH1
vendor: Seagate
physical id: 0.1.0
bus info: scsi@2:0.1.0
logical name: /dev/sda
version: CC24
serial: W1E2L5K7
size: 1863GiB (2TB)
capabilities: partitioned partitioned:dos
configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
*-volume
description: EXT3 volume
vendor: Linux
physical id: 1
bus info: scsi@2:0.1.0,1
logical name: /dev/sda1
version: 1.0
serial: 05ea2f85-06fd-446c-a885-30614d53630c
size: 1863GiB
capacity: 1863GiB
capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean
Por favor ayuda ¿qué puedo hacer? Tengo miedo de volver a arruinarlo con TestDisk. Solo quiero recuperar los archivos. No puedo ver cómo se han ido.
Muchas gracias-
fuente
Respuestas:
Para recuperar datos de una imagen en una unidad USB externa, estos son los pasos necesarios:
por ejemplo, con Propiedades -> Ubicación en el menú del botón derecho.
Verifique la ubicación de su unidad dañada con cualquiera de estos comandos en una terminal
Crea una imagen de tu disco dañado
Reemplace
sdX
con su unidad dañada (por ejemplosda
) o partición (por ejemplosda1
). Reemplace/mountpoint/DRIVENAME/
con la ruta real donde se montó su unidad USB.Solo en caso de que su unidad dañada (
sdX
) sea igual al tamaño de su unidad externa (sdY
) podrá clonar la unidad (sudo dd if=/dev/sdX of=/dev/sdY
) para realizar el rescate de datos en una unidad externa clonada. Aún así, trabajar en una imagen como se muestra arriba es un enfoque mucho más seguro.Instale TestDisk en su sistema en vivo como se explicó en mi respuesta a continuación:
Lea la guía impresionante y concisa de los creadores de TestDisk para recuperarse.
Ejecute testdisk en la imagen de su unidad:
En caso de que no hayamos podido recuperar nuestros archivos, también podemos ejecutar PhotoRec, que se instaló junto con el paquete TestDisk para recuperar archivos individuales (pero luego se perderán los permisos de los nombres de archivo y los directorios).
Su unidad dañada todavía está intacta. Incluso podemos dejar que esta unidad sea recuperada por un servicio profesional en caso de que fallemos con los pasos anteriores.
fuente
dd
declaración 'ofensiva' (opcional) a una con una imagen como en mi respuesta ...Creo que, entre otras cosas, testdisk debería funcionar como una herramienta para recuperar sus datos. Sin embargo, ante todo: antes de hacer cualquier otra cosa, debe proteger su última copia de los datos. En primer lugar, solo móntelo de solo lectura a partir de ahora. (Puedes volver a montarlo con la opción ro, ver
man mount
)Le sugiero que obtenga un disco grande (> 2TB) y copie una imagen completa de su disco actual:
dd if=/dev/sda of=disk-image.dd
donde / dev / sda es su disco de solo lectura montado todo y el disco-imagen.dd es un archivo en el nuevo disco, asegúrese de que haya 2 TB gratis.testdisk también funcionará en una imagen y debería poder ordenar la tabla de particiones. Regrese con preguntas y comentarios y podemos tomarlo desde aquí ...
Un buen lugar para comenzar a leer es aquí: http://epyxforensics.com/node/36 En su recorrido, comienza haciendo una copia en dd como sugerí anteriormente y continúa trabajando en la copia.
¿Tienes una computadora de examen con testdisk, gparted y quizás hexedit instalado?
fuente
Prueba "extundelte" para recuperar tus archivos
fuente
rm -r *
en un lugar muy inapropiado). En el caso de @Head Snow, parece que ha lavado su MBR y necesitaría alguna otra herramienta.Prueba Recuva de Piriform (fabricante de CCleaner ). La herramienta es gratis. Con v1.51.1063 agregaron soporte para sistemas de archivos ext2 y ext3.
La herramienta escaneará un disco e intentará recuperar archivos individuales que se hayan eliminado del disco. Esta herramienta ha guardado datos críticos para algunas personas que conozco cuyo negocio dependía de sus datos (es decir, Datos de Quickbooks) después de haber perdido todo en un disco muy dañado o haber formateado el disco.
Sé que Recuva es una herramienta solo disponible en Windows y Mac, pero la herramienta ahora se puede usar en formatos típicos de sistemas de archivos Linux, por lo que pensé que la información útil aquí en un sitio de preguntas y respuestas de Ubuntu; particularmente como una solución a la pregunta (aunque estoy seguro de que él / ella ya ha encontrado una solución).
fuente